无线VPDN技术介绍

政企客户部2009年06月无线VPDN技术交流——C网行业应用业务介绍移动信息化•放开脚步•迈向财富•迈向客户2广西电信无线VPDN平台3缩略语说明(一)VPDNVirtualPrivateDialupNetwork虚拟拨号专用网络L2TPLayerTwoTunnelingProtocol二层隧道协议LNSL2TPNetworkServer支持L2TP协议的网络服务器LACL2TPAccessConcentratorL2TP访问集中器AAAAuthenticationAuthorizationandAccountion认证、授权、计费即Radius服务器，在文档中的AAA包括两种类型：1)负责无线宽带网络接入认证的AAA服务器，简称接入AAA；2)负责访问客户网络或其应用系统认证的AAA服务器，简称VPDN应用AAA。PDSNPacketDataServingNode分组数据业务节点IMSIInternationalMobileSubscriberIdentificationNumber国际移动用户标识，IMSI信息是记录在手机卡中，为唯一识别一个移动用户所分配的号码。VRVirtualRouter虚拟路由器BSCBaseStationController基站控制器4缩略语说明(二)PI-0VPNCDMA分组域承载网用于承载Internet业务以及公网VPDN业务的流量的VPN网络。PI-2VPNCDMA分组域承载网用于承载承载老用户访问老WAP和mail的业务流量和以及私网VPDN用户业务的VPN网络。CN2189VPNCN2网络中用于承载C网VPDN业务的VPDN网络。5什么是无线VPDN无线VPDN业务建基于中国电信CDMA通信网络，用户只要拨打中国电信特服号码，利用安全的L2TP隧道传输协议，就可以在现有的拨号网络上构建一条虚拟的、不受外界干扰的专用通道，从而安全访问企业内部网资源。无线VPDN用户可使用PDA智能手机、及其他中国电信无线宽带接入设备终端，方便安全的接入企业内部网络。什么是无线VPDN6无线VPDN平台主要功能营业功能业务管理功能局端维护功能企业域认证LNS认证托管IMSI、IP、企业域名绑定计费汇总管理78主要功能实现过程（1）用户拨号，通过CDMA网络接入。（2）PDSN（LAC）发送一次认证请求——C网AAARadius服务器。（3）VPDN一次认证：由C网AAARadius服务器完成认证。C网AAARadius服务器仅认证域名，若存在此域名，则下发L2TP隧道参数到PDSN（LAC）（4）PDSN（LAC）向VPDN接入路由器（LNS）发起建立L2TP隧道请求。PDSN（LAC）将C网AAARadius服务器认证通过后返回的数据打包转发——VPDN接入路由器（LNS）。数据包内包括：域名、用户帐号、密码、IMSI等信息。（5）VPDN接入路由器（LNS）发送VPDN二次认证请求——无线VPDNRadius服务器（BIMS系统AAA）认证请求包括：域名、用户帐号、密码、IMSI等信息。9（6）无线VPDNRadius服务器（BIMS系统AAA）进行VPDN二次认证。认证用户名、密码信息，认证通过后下发用户的IP地址。无线VPDNRadius服务器（BIMS系统AAA）实现域名认证、VPDN帐号认证、绑定认证等。（7）认证通过后发送Radius认证通过包——VPDN接入路由器（LNS）。认证通过后发送：L2TP隧道参数信息；可下发用户的私网IP地址。（8）VPDN接入路由器（划分了虚拟LNS）与PDSN（LAC）成功建立L2TP隧道，并给用户分配Radius下发的IP地址。（9）无线VPDN用户访问企业内部网。10VPDN用户接入方案（原则）LNS设备是无线宽带VPDN客户侧接入设备，可以采用以下两种部署方式：（1）LNS设备部署在中国电信机房，既可以是客户托管的设备，也可以是中国电信提供的设备，由多个客户共享。（2）LNS设备部署在客户网络，放置在客户机房。接入要求的几个基本原则：（1）LNS接入方案分为通过CN2VPN和公网163两种方式，为了用户业务组网安全，主要推荐采用通过CN2VPN组网模式。（2）LNS设备通过宽带线路接入到CN2VPN，在CN2VPN上与PDSN建立L2TP隧道连接，VPN号统一为CTVPN189。为了实现与自营业务分离，不允许LNS设备直接与PDSN侧的CE设备直接相连。11VPDN客户接入方案（一）用户自备LNS且放置用户机房用户自备LNS，LNS放置用户机房，客户网络和LNS之间通过本地局域网连接，用户LNS可以通过163接入PI-0或通过CN2VPN189接入PI-2。对于允许与CN2跨域开放MPLSVPN业务的城域网，优先通过城域网VPN189延伸PE接入CN2VPN189（如下图中①和②），否则直接接入CN2VPN189PE（如下图中③）。客户网络城域网PDSNCN2C网分组域PEPEPEPEPEPEPELNSCN2接入城域网接入123LNSLNS163骨干网CE客户网络LNS4互联网专线城域网接入客户网络客户网络ASBRSRRR12VIP人员工作步骤1、调查并确定客户是以那种方式接入（163网、城域网、CN2）2、以163网接入，则需要记录其接入163网的IP地址。3、以城域网接入则需要调查本地城域网是否与CN2跨域开放MPLSVPN业务，并且通过2M数字电路或者光纤专线方式，将客户LNS联入城域网。VIP需要协助客户经理做好电路客响单。4、以CN2方式，则需要通过2M数字电路或者光纤专线方式，将客户LNS联入城域网。VIP需要协助客户经理做好电路客响单。5、不论采用哪种方式，都要客户提供VPN的隧道名和密码。6、通过城域网和CN2接入方式，需要VIP协助客户经理到CRM上申请CN2线路连接到南宁无线VPDN平台。开通前准备工作13填客响单，发送到区NOC，申请无线VPDN域名，并且从区NOC取得下配置参数：VPN的数值属性（中文全称，非数字。例如：华夏银行C网应用无线VPDN）分配给客户方的IP地址申请域名14协助客户经理填CRM，填CRM151、检查线路是否已经到位。2、163网接入方式不需要进行客户处接入路由器配置。只需要协助客户对其手机、上网卡、上网本进行VPDN账号配置。2、城域网接入和CN2接入方式需要将区NOC分配的IP地址配置到客户LNS上。并协助客户对其手机、上网卡、上网本进行VPDN账号配置。上门安装16该接入方式不向客户提供IP绑定和IMSI绑定服务，其账号也由客户自行维护。注意：17VPDN客户接入方案（二）用户自备LNS、但LNS放置电信机房托管，用户LNS通过CN2VPN189（直接接入CN2如下图中①）接入PI-2。对于允许与CN2跨域开放MPLSVPN业务的城域网，优先采用城域网接入CN2VPN189（如下图中②）。客户网络和托管LNS之间互联，如城域网具备MPLSVPN能力，则优先通过城域VPN与托管LNS互联（如下图中的④所示），否则通过ATM/FR/SDH/MSTP等本地专线与托管LNS互联（如下图中的③所示）。城域VPNPDSNCN2客户网络C网分组域PEPEPEPEPEPEPE托管LNS本地接入托管LNS本地接入CN2本地接入4312本地接入MSTP/SDH/ATM/FR客户网络18VIP人员工作步骤1、通过城域网VPN将客户LNS与其内网相连2、通过2M数字电路或者光纤专线将客户LNS与其内网相连。3、VIP协助客户经理到CRM上申请CN2线路连接到南宁无线VPDN平台。开通前准备工作19填客响单，发送到区NOC，申请无线VPDN域名，并且从区NOC取得下配置参数：VPN的数值属性（中文全称，非数字。例如：华夏银行C网应用无线VPDN）申请域名20协助客户经理填CRM，填CRM211、检查线路是否已经到位。2、协助客户对其手机、上网卡、上网本进行VPDN账号配置。上门安装22该接入方式不向客户提供IP绑定和IMSI绑定服务，其账号也由客户自行维护。注意：23VPDN客户接入方案（三）：集中LNS平台模式GE1PDSNCECN2PEPE共共LNS共共共共共共共GE22共共VPN共共共共13共共VPN共共共共4a共共共共共共共共共共VR共VRF共VR4共VRF4共PEVR1共VRF1共VR2共VRF2共VR3共VRF3共C共共共共PE共共共共PE-ASBRPE共共共共共共共共共共共共共共(共共)b24客户网络和共享LNS之间互联，如客户网络与共享LNS在同一城市，如城域网具备MPLSVPN能力，则优先通过城域VPN与共享LNS的客户VR/VRF互联（如上图②所示），否则通过ATM/FR/SDH/MSTP等本地专线与共享LNS的客户VRF互联（如上图①所示）。如客户网络与共享LNS不在同一城市，可通过CN2VPN（如图③）或者城域网VPN与CN2VPN跨域互联（如图④）的方式接入共享LNS的用户VR/VRF。25VIP人员工作步骤1、与客户确定内网IP规划，需要与客户确定局方及客户方IP地址，确保双方不与其他IP相冲突。2、与客户确定分配的IP地址池，确保不与客户内网IP地址冲突。3、收集客户需要绑定的IP地址及对应的账号4、收集客户需要绑定的IMSI及对应的账号5、确定客户的其他需求。6、到CRM上申请CN2专线联接到南宁无线VPDN平台。开通前准备工作26填客响单，发送到区NOC，申请无线VPDN域名，并且从区NOC取得下配置参数：VPN的数值属性（中文全称，非数字。例如：华夏银行C网应用无线VPDN）申请域名27协助客户经理填CRM，填CRM281、检查线路是已经到位2、将之前协商好的IP地址配置到客户的接入设备上（交换机、路由器、防火墙等）3、将客户分配的IP地址池做路由指向到客户接入设备上的外网端口地址。4、帮助客户对其手机、上网卡、上网本进行VPDN账号配置。上门安装29广西电信无线VPDN平台的特点30企业域认证采用专有的企业域，才能让终端通过L2TP隧道参数由PDSN（LAC）连到VPDN接入路由器（LNS），而客户自建的VPN，任何终端都有可能连上企业自己的VPDN接入路由器（LNS），从而将企业的VPDN接入路由器（LNS）直接暴露在公众网前，极容易受到攻击。技术特点31IMSI、IP、域名绑定通过IMSI、IP与域名绑定，即使有不发分子获得拨号账号、密码、域名，也因为不是绑定的IMSI，而无法登陆到VPDN接入路由器（LNS），使数据传输的安全有了三重保障。技术特点32成本低企业节省大量的设备、机房、维护人员费用及技术设备更新带来的费用。33专业性广域的网络维护由电信运营商来做，尤其是企业所不熟悉的移动通讯网络，企业不必建立企业专网维护系统。34无线VPDN产品35主要实体产品无线数据采集器CDMA路由器无线POS机无线上网卡36无线DTUDTU是指数据终端设备（DataTerminalunit)，在进行通信时，传输数据的链路两端肯定存在DTU.在它的作用下对所传信息进行格式转换和数据整理校验，无线DTU就是采用无线传输数据链路的数据终端设备，也就是将有线的DDN、电话线等换为CDMA1x/EV-DO。外置式内置式37无线路由器工业级38无线POS机39区政企业务主管杨波18977148576资费、报价区政企业务技术主管欧帧林13317717070管理办法、流程区NOC黄嘉2686633域名申请处理系统集成公司覃振18977141779具体项目方案、支持、实体化产品40谢谢！